Ce règlement, qui entrera en application au printemps 2018, harmonisera les législations nationales au sujet des données personnelles à l’ère de l’Internet grand public, ce qui permettra aux citoyens européens de bénéficier des mêmes principes dans tous les pays membres de l’Union.
Le règlement sur la protection des données adapte ainsi la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui régit le domaine de l’Internet depuis 1995.
Les principales mesures adoptées par le parlement sont notamment :
- La reconnaissance du « droit à l’oubli » qui permet à un individu de demander l’effacement des données le concernant sous réserve que leur conservation ne soit pas nécessaire pour un motif légitime (recherches historiques, scientifiques, statistiques,…).
- La mise en œuvre de l’opt-in : le règlement prévoit l’obligation de recueillir un consentement « clair et explicite » avant tout traitement de données personnelles. Par exemple, le fait de cocher par défaut des cases de recueil du consentement ne pourra satisfaire aux exigences du règlement.
- L’inscription des enfants sur des réseaux sociaux soumise à autorisation parentale. Les états membres pourront fixer la limite d’âge entre 13 et 16 ans.
- Le droit à la portabilité des données qui permettra à tout internaute de transférer, sur demande, ses données et informations stockées d’une plate-forme vers une autre, par exemple pour changer de fournisseur de messagerie électronique sans avoir à perdre ses contacts ou ses messages.
- Le droit d’être informé en cas de piratage des données : l’entreprise victime d’un piratage de données de ses clients ou de tiers devra en informer sans délai l’autorité de protection des données de son pays, ainsi que les clients concernés.
- Des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des entreprises. Si les géants du web contreviennent à ces règles, les différentes autorités de régulations nationales équivalentes de la CNIL pourront infliger ces sanctions. Il s’agit d’une toute autre échelle que les 150 000 euros que peut infliger actuellement la CNIL.
Le règlement entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE. Ses dispositions seront directement applicables dans tous les États membres deux ans après cette date.
Les pays de l’UE auront ainsi deux ans pour transposer les dispositions de la directive dans leur législation nationale.
Pour le rapporteur du Parlement européen, l’Europe fixe ainsi « la référence mondiale » en matière de protection des données.
Si la CNIL et les eurodéputés saluent l’adoption de ce texte, d’autres voix mécontentes se sont fait entendre. Par exemple, l’association patronale BusinessEurope estime ainsi que le texte ajoute une charge administrative inutile et qu’il n’a pas opéré un juste équilibre entre vie privée et compétitivité.